Nueva variante de malware cuyo .EXE se oculta con icono de carpeta

De entre las muchas muestras recibidas hoy, destaco una por su malicia dentro de la picaresca dado que es un .EXE que se esconde oculto con icono de carpeta, lo cual lo hace muy peligroso si no se tiene configurado que se vean las extensiones ya que al verlo con apariencia de carpeta, al dar doble click sobre él, para entrar en ella, se ejecuta el fichero malware con lo que se infecta el ordenador, salvo que el antivirus lo conozca y lo impida.

Además el nombre que utiliza es el de NOTEPAD, que acostumbramos a identificar como Bloc de Notas, muy normal de utilizar…

Una vez analizada resulta ser identificada con un nombre diferente por casi cada antivirus:

File NOTEPAD.EXE received on 2009.06.29 11:58:04 (UTC)
Current status: Loading … queued waiting scanning finished NOT FOUND STOPPED
Result: 31/41 (75.61%)
 

Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.29 Trojan.Peed!IK
AhnLab-V3 5.0.0.2 2009.06.29 –
AntiVir 7.9.0.199 2009.06.29 TR/Dropper.Gen
Antiy-AVL 2.0.3.1 2009.06.29 –
Authentium 5.1.2.4 2009.06.29 W32/Nuj.A.gen!Eldorado
Avast 4.8.1335.0 2009.06.28 Win32:Spyware-gen
AVG 8.5.0.339 2009.06.29 SHeur2.MIH
BitDefender 7.2 2009.06.29 Trojan.Spy.Agent.NXS
CAT-QuickHeal 10.00 2009.06.29 Win32.Worm.Autorun.DM.5
ClamAV 0.94.1 2009.06.29 –
Comodo 1485 2009.06.29 Unclassified Malware
DrWeb 5.0.0.12182 2009.06.29 Win32.HLLW.Autoruner.6234
eSafe 7.0.17.0 2009.06.28 Win32.Autorun.worm.d
eTrust-Vet 31.6.6588 2009.06.29 –
F-Prot 4.4.4.56 2009.06.29 W32/Nuj.A.gen!Eldorado
F-Secure 8.0.14470.0 2009.06.29 Trojan-Downloader.Win32.VB.ked
Fortinet 3.117.0.0 2009.06.29 W32/AutoRun.DQ!worm
GData 19 2009.06.29 Trojan.Spy.Agent.NXS
Ikarus T3.1.1.64.0 2009.06.29 Trojan.Peed
Jiangmin 11.0.706 2009.06.29 –
K7AntiVirus 7.10.768 2009.06.19 Trojan-Downloader.Win32.VB
Kaspersky 7.0.0.125 2009.06.29 Trojan-Downloader.Win32.VB.ked
McAfee 5660 2009.06.28 W32/Autorun.worm.dq.gen
McAfee+Artemis 5660 2009.06.28 W32/Autorun.worm.dq.gen
McAfee-GW-Edition 6.7.6 2009.06.29 Trojan.Dropper.Gen
Microsoft 1.4803 2009.06.29 Worm:Win32/Regul.B
NOD32 4195 2009.06.29 probably a variant of Win32/Agent
Norman 6.01.09 2009.06.26 –
nProtect 2009.1.8.0 2009.06.29 –
Panda 10.0.0.14 2009.06.29 Adware/AccesMembre
PCTools 4.4.2.0 2009.06.28 –
Prevx 3.0 2009.06.29 –
Rising 21.36.02.00 2009.06.29 Worm.Win32.Autorun.eyr
Sophos 4.43.0 2009.06.29 Mal/EncPk-GF
Sunbelt 3.2.1858.2 2009.06.28 Bulk Trojan
Symantec 1.4.4.12 2009.06.29 W32.SillyFDC
TheHacker 6.3.4.3.356 2009.06.27 Trojan/Downloader.VB.ked
TrendMicro 8.950.0.1094 2009.06.29 TROJ_VB.ITI
VBA32 3.12.10.7 2009.06.29 Worm.Win32.AutoRun.tbb
ViRobot 2009.6.29.1810 2009.06.29 Trojan.Win32.Downloader.1513455
VirusBuster 4.6.5.0 2009.06.28 –
Additional information
File size: 1513455 bytes
MD5…: 4316af56fabb8c130b76884a7b47d716
SHA1..: 32f4138d324ab0cecfb7c9786ad021f0d438bcbc
Afortunadamente mas de un 75 % ya lo controlan, pero algunos conocidos como e-Trust, Norman, nProtect, VirusBuster, entre otros, les pasa desapercibido.

Como siempre, mucho cuidado ahí fuera !  🙂

saludos

ms, 29-6-2009

NOTA:  Aparte que se puede detectar y eliminar con el ELIMD5 entrando indistintamente las cadenas del MD5 o SHA1 indicadas em el analisis:  MD5…: 4316af56fabb8c130b76884a7b47d716    o   SHA1..: 32f4138d324ab0cecfb7c9786ad021f0d438bcbc
a partir del ELISTARA de hoy>18.91 lo pasamos a controlar como AUTORUN.DQ y añadimos que es de los virus que se propagan por pendrive.  (Recomendamos vacunar con el ELIPEN ordenadores y pendrives)